Présentation au COTER Jeudi 7 décembre 2017

Slides:



Advertisements
Présentations similaires
JRES FÉDÉRATION D'IDENTITÉS ET PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL Béatrice CASTETBON - UNIVERSITÉ DE PAU ET DES PAYS DE L’ADOUR CORRESPONDANT.
Advertisements

Une Charte pour le bon usage des TICE. Mettre en place un cadre à respecter  L’utilisation des services numériques mis à disposition par une école nécessite.
Priorités: Structure. Règles contractuelles Considérer la qualité des entrepreneurs dans l’attribution des contrats. Centraliser l’octroi des contrats.
L’impact du RGPD sur l’organisation et l’activité des entreprises
Arnaud David Juriste Senior - Microsoft
La règlementation en matière de transfert de données
Présentation de l’accord relatif au contrat de génération
La pénibilité au travail : Au moins 3 grands enjeux
Le suivi évaluation : de quoi s'agit-il et à quoi cela sert-il ?
Sites Internet et Protection des données à caractère personnel
Leçon d’éthique Thème: PROTECTION DES DONNEES / RESEAUX SOCIAUX     Objectifs : - Comprendre pourquoi la protection des données et celle de la sphère.
La mise en place opérationnelle du SNDS
Accords d’Exécution – Accords de Financement
Vers une nouvelle gouvernance de la donnée personnelle
LE PASSAGE À L’EURO DE L’APPLICATION ICARE
Evolutions réglementaires en cours
2.5 Loi informatique et libertés
Le notaire et le droit des données personnelles
PRIVACY.
le plan de continuité d’activité ( le pca )
Green IT & Cloud L’empreinte écologique de vos actions numériques & règles juridiques. Désiré BRUCKMANN.
Et la vie lycéenne Vous présentent.
Fonds « Asile, migration et intégration (AMIF) »
Et la vie lycéenne Vous présentent.
Le Règlement européen sur la protection des données personnelles
Marguerite OUEDRAOGO BONANE
Le GDPR, ses contraintes et ses opportunités …
Lutter contre les atteintes aux droits de la personnalité en ligne
Le système d’information dans l’organisation
Vuibert Systèmes d’information et management des organisations 6 e édition R. Reix – B. Fallery – M. Kalika – F. Rowe Chapitre 1 : La notion de système.
données personnelles La protection des
MARQUAGE CE.
LA RGPD 2018 Mise en conformité de votre OF
Agir… L’offre de services La Poste aux communes
SYSTEME DE MANAGEMENT DE LA QUALITE : LA NOUVELLE NORME ISO 9001 version 2015.
CONSEILS DEPARTEMENTAUX
RGPD groupe de travail ADF et perspectives «  Faut-il promouvoir la création au niveau Départemental de Direction de la Donnée regroupant les fonctions.
JOURNEE DES CENTRES DE GESTION DE LA FONCTION publique DES OUTRE-MER A l’initiative de l’ACCD’OM INSET D’ANGERS 03/06/2013.
Règlement général sur la protection des données
Le RGPD dans la santé Cédric Cartau – 2017.
Règlement général sur la protection des données
Directrice de la Conformité
GROUPEMENTS HOSPITALIERS DE TERRITOIRE
Confidentiel – Reproduction interdite
Le règlement europeen sur la protection des données personnelles
Le GDPR en 20 minutes - Quelques questions choisies
Le Règlement européen général sur la protection des données (RGPD)
Présentation de suderiane
La gestion des habilitations par le partenaire
Le Règlement Général sur la Protection des Données personnelles (RGPD)
Règlement général sur la protection des données
Législation.
Intervenant : Patrick DUGUÉ Consultant - Formateur
Nouveau Règlement Général de Protection des Données
Depuis le 5 mai 2018, ce Règlement …
LE RGPD Règlement européen sur la protection des données
Le nouveau règlement sur la vie privée
Référentiel RGPD du LabRC
Outil d’assistance à la mise en conformité de votre entreprise au RGPD.
Registre des activités de traitement
Module 1 : principes généraux I&L
LE RGPD ET LES DROITS A LA PERSONNE - LE DROIT D’ACCES
Module 5 : relations avec la Cnil
Concepts et étapes Ateliers de formation à la mise en œuvre
1. Teaser RGPD VO_Narrateur :
La protection des données personnelles
« il ne faut pas vivre la protection des données personnelles comme une contrainte, mais en tant qu’élément culturel qui contribue à la culture des droits.
INTRODUCTION Le RGPD est le règlement général de la protection des données personnelles. il s’agit selon l’article 4 alinéa 1 du RGPD de toute information.
Télémédecine et protection des données personnelles
Le RGPD et le traducteur SFT 27/04/2019
Transcription de la présentation:

Présentation au COTER Jeudi 7 décembre 2017 Le RGPD Présentation au COTER Jeudi 7 décembre 2017 O ALLIANCE-TIC

Sommaire O 1/ Cadre réglementaire (rappel) 2/ Les données 3/ Le RGPD en détails et en étapes O O O COTER - 7 décembre 2017 ALLIANCE-TIC

1/ CADRE REGLEMENTAIRE O COTER - 7 décembre 2017 ALLIANCE-TIC

Règlement Général sur la protection des données LE RGPD Règlement général sur la protection des données O Règlement Général sur la protection des données Adopté par l’UE le 14 avril 2016 Applicable le 25 mai 2018 en France Met à jour les principes de la loi informatique et libertés du 6 janvier 1978 O COTER - 7 décembre 2017 ALLIANCE-TIC

CADRE GENERAL EUROPEEN LE RGPD trois objectifs O Renforcer les droits des citoyens européens et leur donne plus de contrôle sur leurs données personnelles. Responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants). Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et des sanctions renforcées. CADRE GENERAL EUROPEEN O COTER - 7 décembre 2017 ALLIANCE-TIC

2/ LES DONNEES O COTER - 7 décembre 2017 ALLIANCE-TIC

Données à caractère personnelle LES DONNEES LES DONNÉES A CARACTERE PERSONNELLE O Données à caractère personnelle Ensemble d’informations permettant de discriminer une personne au sein d’une population (adresse IP, nom, n° d’immatriculation, n° de téléphone, photographie, etc, …) Données sensibles Opinions politiques, philosophiques, religieuses, Origines raciales ou ethniques, Appartenance syndicale Santé, orientation sexuelle Condamnations, mesures de sureté, Ex : un fichier avec blessure à la main ou en congé partiel de maternité, risque juridique, la loi impose des contraintes renforcées : Sécurité, Justification de la nécessité de les traiter Consentement express des personnes avant le traitement la collecte d’une donnée doit être justifiée : c’est la proportionnalité. Par méconnaissance, les agents ont souvent tendance à demander beaucoup trop d’informations. Ainsi, s’ils veulent faire des statistiques sur l’âge, pas besoin d’exiger la date de naissance, un système par tranches d’âge est largement suffisant. Seuls les agents habilités ont accès aux données. Et, pour être habilité, il faut participer à la finalité du traitement. O COTER - 7 décembre 2017 ALLIANCE-TIC

O O LES DONNEES Les données à caractère personnel LE TRAITEMENT, LA CONSERVATION ET L’ARCHIVAGE O Les données à caractère personnel sont recueillies et traitées pour un usage déterminé et légitimé. une priorité stratégique La durée de conservation doit être adaptée à la finalité. Ensuite une priorité stratégique si besoin, les données seront archivées, et ne feront plus l’objet de traitements. O COTER - 7 décembre 2017 ALLIANCE-TIC

3/ Le RGPD en détails et en étapes O COTER - 7 décembre 2017 ALLIANCE-TIC

O O LES ETAPES ALLIANCE-TIC LES 6 ETAPES DE LA CNIL Désigner un pilote Un DPO Cartographier Tenir un registre Prioriser les actions Identifier & prioriser Gérer les risques Si risques élevés : PIA Organiser les processus Procédure interne Documenter Somme de documents O COTER - 7 décembre 2017 ALLIANCE-TIC

DATA PROTECTION OFFICER LE DPO DATA PROTECTION OFFICER O DATA PROTECTION OFFICER Délégué à la protection des données Un chef d’orchestre Lui donner les moyens humains et financier Indépendance (hiérarchie) Pilote, informe, conseil, sensibilise, contrôle le respect, coopère avec l’organisme Le délégué à la protection des données est principalement chargé : d’informer et de conseiller le responsable de traitement ou le sous-traitant ainsi que leurs employés, de contrôler le respect du règlement et du droit national en matière de protection des données, de conseiller l’organisme sur la réalisation d’études d’impact sur la protection des données et d’en vérifier l’exécution, de coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci. Le délégué doit notamment : informer sur le contenu des nouvelles obligations, sensibiliser les décideurs sur l’impact de ces nouvelles règles, réaliser l’inventaire des traitements de données de votre organisme, concevoir des actions de sensibilisation, piloter la conformité en continu. Obligatoire pour chaque collectivité O COTER - 7 décembre 2017 ALLIANCE-TIC

O Les droits : Les sous-traitants : O RGPD QUELQUES TERMES O Les droits : droits d’accès, de rectification, d’opposition, droit à la portabilité, retrait du consentement. Les sous-traitants : La responsabilité s’étend aux sous-traitants  il faut contractualiser la relation pour ne pas être impliqué en cas de défaillance du sous-traitant (voir exemple sur le site de la CNIL). en cas de partage de données avec un sous-traitant, il est recommandé l’utilisation de technique de cryptage. QUELQUES TERMES O COTER - 7 décembre 2017 ALLIANCE-TIC

O O LES ETAPES Cartographier Prioriser Gérer les risques ALLIANCE-TIC DETAILS O Cartographier Recenser les traitements, les objectifs, les acteurs, les flux (EU ou non). Tenir un registre des traitements. Rencontrer les services et les entités qui traitent des données. Identifiés les sous-traitants. Ou sont stocké les données, combien de temps elles sont conservées ? Prioriser Données strictement nécessaires aux objectifs. Base juridique du traitement. Les mentions d’information. Les sous-traitants. L’exercice du droit (accès, rectification, portabilité, retrait). Les mesures de sécurité. Gérer les risques Si risques élevés pour les droits et libertés des personnes  étude d’impact sur la protection des données (PIA) Voir les guides PIA de la CNIL. Catalogue de bonnes pratiques. O COTER - 7 décembre 2017 ALLIANCE-TIC

O O LES ETAPES Organiser Documenter ALLIANCE-TIC DETAILS Mettre en place des procédures internes qui garantissent la protection des données à tout moment. Processus en cas de problème (72H00 pour alerter). Processus en cas de demande de renseignements. Sensibiliser et former. Documenter Registre des traitements. Analyses d’impact si nécessaire. Encadrement des transferts de données hors UE Recueil du consentement des personnes. Les contrats avec les sous-traitants. Les procédures internes. O COTER - 7 décembre 2017 ALLIANCE-TIC

LES PRINCIPES LE PRIVACY BY DESIGN O La protection des données dès la conception et par défaut. Les responsables de traitements doivent mettre en œuvre toutes les mesures techniques et organisationnelles nécessaires au respect de la protection des données personnelles, à la fois dès la conception du produit ou du service et par défaut. Concrètement, ils doivent veiller à limiter la quantité de données traitée dès le départ (principe dit de « minimisation »). PRIVACY BY DESIGN O COTER - 7 décembre 2017 ALLIANCE-TIC

LES PRINCIPES Accountability O Un allègement des formalités administratives et une responsabilisation des acteurs. Les responsables de traitements et les sous-traitants doivent mettre en place des mesures de protection des données appropriées et démontrer cette conformité à tout moment (accountability). La conséquence de cette responsabilisation des acteurs est la suppression des obligations déclaratives dès lors que les traitements ne constituent pas un risque pour la vie privée des personnes. Accountability O COTER - 7 décembre 2017 ALLIANCE-TIC

Jusqu’à 10 – 20 millions d’euros d’amendes RGPD PROBLEMES ET Les sanctions O En cas de problème : Mettre en place un processus en cas de problème. Notification à la CNIL de toute violation dans les meilleurs délais dans les 72H après en avoir pris connaissance  notification des violations de données personnelles aux personnes concernées si un risque élevé pour les droits et libertés d’une personne physique est avéré (ou communication publique). S’agissant des amendes administratives : de 10 ou 20 millions d’euros, de 2% jusqu’à 4% du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Jusqu’à 10 – 20 millions d’euros d’amendes O COTER - 7 décembre 2017 ALLIANCE-TIC